Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros
МАксим,
добавьте в ваше сообщение пару зашифрованных файлов и записку о выкупе.
+
добавьте образ автозапуска системы, где произошло шифрование
+
если сохранился файл шифратора, загрузите файл для анализа  на
https://www.hybrid-analysis.com/
и разрешите доступ к файлу
зашифровано с расширением *.phoenix; .phobos, Phobos
функция шифрования не обнаружена в данном файле, хотя имя файла связано с именем почты злоумышленников batecaddric@aol.com
зашифровано с расширением *.phoenix; .phobos, Phobos
судя по детекту на VT исполняемый файл заражен файловым вирусом neshta

попробуйте загрузить этот файл для анализа на
https://www.hybrid-analysis.com/
разрешите общий доступ к этому файлу
-------
по phobos, к сожалению, в вирлабах на текущий момент расшифровки нет.
восстановление документов возможно только из резервных копий.
зашифровано с расширением *.phoenix; .phobos, Phobos
@STANISLAV KERZHENTSEV,
добавьте линк проверки файлов на virustotal.com
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
Алексей,
расшифровка ваших файлов возможна.
напишите в почту safety@chklst.ru
Не устанавливается агент eset endpoint antivirus 7
напишите в support@esetnod32.ru по данной проблеме
зашифровано с расширением *.phoenix; .phobos, Phobos
@STANISLAV KERZHENTSEV,
по лечению системы.
судя по логу cureit
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - infected with Win32.HLLP.Neshta
у вас ко всему прочему еще было заражение файловым вирусом Neshta
проверьте системный диск полностью еще раз с помощью cureit
(чтобы убедиться, что все найденные зараженные файлы были обезврежены)
лог проверки добавьте на форум.

по расшифровке файлов:
добавьте на форум записку о выкупе и пару зашифрованных файлов в архиве
+
сделайте проверку на http://virustotal.com этого файла
[QUOTE]C:\Users\Администратор\AppData\Local\Temp\23\3582-490\batecaddric.exe - quarantined, reboot required
C:\programdata\microsoft\windows\start menu\programs\startup\batecaddric.exe - quarantined
C:\users\администратор\appdata\local\batecaddric.exe - quarantined
C:\users\администратор\appdata\roaming\microsoft\windows\start­ menu\programs\startup\batecaddric.exe - quarantined[/QUOTE]
файл должен остаться в карантине cureit
скорее всего это файл шифратора, просто был заражен после запуска еще и neshta
NOD32 ANTIVIRUS + VPN, Нет доступа по VPN
сделайте образ автозапуска на проблемном ПК, откуда вы не можете подключиться по RDP при включенном VPN
Eset nod 32 проблема., Не устанавливается Eset nod 32 internet security!
добавьте образ автозапуска системы
Периодически появляется всплывающее окно от антивируса с надписью "Адрес заблокирован"
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.30_0\SAVEFROM.NET ПОМОЩНИК
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\8.29_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_5460_30449\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_4868_30579\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_6232_30243\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_4108_1155\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_5924_29947\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_588_2223\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_6912_22724\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_2840_17734\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_6840_22382\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_6840_15952\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_6840_6702\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_2936_24030\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_2936_13469\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\YANDEX_BROWSE­R_BITS_3772_10083\RESPONSE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\LOCAL\TEMP\7ZIPSFX.000\MEGACMD\MEGACMDUPDATER.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\USBVIDEO.SYS
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\OHMYGOD\APPDATA\ROAMING\MOZILLA\FIREFOX\­PROFILES\QFCTWS9Y.DEFAULT\EXTENSIONS\VB@YANDEX.RU.XPI
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\BSTKPROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref E:\AUTORUN.EXE
delref H:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\ALCOHOL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXDTA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXCMD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\ACID.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\UNINST.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/